Un fallo en IOS pone en peligro los routers de Cisco con VoIP
Cisco ha advertido de un defecto en su software IOS que puede hacer vulnerables a ataques a sus routers con capacidades VoIP. El problema sólo afecta a los routers del fabricante que corran IOS Telephony Services, Call Manager Express o Survivable Remote Site Telephony (SRST).
Estos servicios utilizan el protocolo Skinny Call Control de Cisco (SCCP, o Skinny), el cual controla la señalización entre los teléfonos IP del fabricante y los procesadores de llamadas de su plataforma CallManager. Pero, además, sólo corren peligro los sistemas que, además de correr uno de los servicios VoIP anteriores, funcionen con pruebas de software IOS 12.1YD, 12.2T o 12.3T.
El fallo de IOS permitiría a un atacante enviar paquetes incorrectos al puerto Skinny sobre routers Cisco con soporte VoIP, y, en caso de tener éxito, el ataque resultar en problemas de denegación de servicio (DoS), entre otros. Los clientes cuyos routers utilicen el código IOS vulnerable, pueden, o bien obtener un parche a través de Cisco o de cualquiera de sus socios de canal, o actualizar la plataforma a otras versiones del código.
Dado que las actualizaciones del software IOS requieren que los routers se mantengan fuera de línea durante el proceso, el fabricante ha sugerido algunos procedimientos transitorios hasta que el nuevo código o el parche hayan sido instalados. Así, los clientes pueden, por ejemplo, configurar sus routers para restringir el tráfico Skinny sólo a los teléfonos IP conectados localmente, una alternativa que Cisco recomienda como práctica común para los usuarios de CallManager, pero que no está configurada por defecto en CallManager Express para facilitar la gestión. El fabricante indica que los usuarios pueden también aplicar listas de control de acceso para encerrar las entradas WAN en el puerto de bloqueo 2000, evitando la entrada de tráfico Skinny externo al dispositivo.
En cuanto al tipo de empresas potencialmente más afectadas por este problema, SRST suele ser desplegado en delegaciones que conecten sus teléfonos IP a una PBX IP Call Manager corporativa y centralizada. Este sistema permite que los terminales telefónicos mantengan tono de marcación local y algunas funcionalidades de llamada en el caso de que el enlace WAN a la PBX central falle. IOS Telephony Services también proporciona esta funcionalidad, mientras que CallManager Express aporta un módulo para routers Cisco que añade capacidad de memoria y de procesamiento de llamadas adicional a los routers, permitiéndoles actuar como sistemas telefónicos autosuficientes.
Los parches para resolver la vulnerabilidad están disponibles en: www.cisco.com/warp/public/707/cisco-sa-20050119-itscme.shtml
El fallo de IOS permitiría a un atacante enviar paquetes incorrectos al puerto Skinny sobre routers Cisco con soporte VoIP, y, en caso de tener éxito, el ataque resultar en problemas de denegación de servicio (DoS), entre otros. Los clientes cuyos routers utilicen el código IOS vulnerable, pueden, o bien obtener un parche a través de Cisco o de cualquiera de sus socios de canal, o actualizar la plataforma a otras versiones del código.
Dado que las actualizaciones del software IOS requieren que los routers se mantengan fuera de línea durante el proceso, el fabricante ha sugerido algunos procedimientos transitorios hasta que el nuevo código o el parche hayan sido instalados. Así, los clientes pueden, por ejemplo, configurar sus routers para restringir el tráfico Skinny sólo a los teléfonos IP conectados localmente, una alternativa que Cisco recomienda como práctica común para los usuarios de CallManager, pero que no está configurada por defecto en CallManager Express para facilitar la gestión. El fabricante indica que los usuarios pueden también aplicar listas de control de acceso para encerrar las entradas WAN en el puerto de bloqueo 2000, evitando la entrada de tráfico Skinny externo al dispositivo.
En cuanto al tipo de empresas potencialmente más afectadas por este problema, SRST suele ser desplegado en delegaciones que conecten sus teléfonos IP a una PBX IP Call Manager corporativa y centralizada. Este sistema permite que los terminales telefónicos mantengan tono de marcación local y algunas funcionalidades de llamada en el caso de que el enlace WAN a la PBX central falle. IOS Telephony Services también proporciona esta funcionalidad, mientras que CallManager Express aporta un módulo para routers Cisco que añade capacidad de memoria y de procesamiento de llamadas adicional a los routers, permitiéndoles actuar como sistemas telefónicos autosuficientes.
Los parches para resolver la vulnerabilidad están disponibles en: www.cisco.com/warp/public/707/cisco-sa-20050119-itscme.shtml
